Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Nuevas versiones de BIND 9

Nuevas versiones de BIND 9

Por Deja un comentario

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar tres vulnerabilidades (una considerada de gravedad alta y dos de importancia media) que podrían causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.
El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
La vulnerabilidad de gravedad alta, con CVE-2017-3137, consiste en que se asume de forma errónea el orden de los registros en una respuesta que contenga registros de recursos CNAME o DNAME. Esto podría dar lugar a un fallo de aserción con la finalización de named al procesar una respuesta en la que los registros se encuentran en un orden inusual. Afecta a versiones 9.9.9-P6, 9.9.10b1a 9.9.10rc1, 9.10.4-P6, 9.10.5b1a 9.10.5rc1, 9.11.0-P3, 9.11.1b1-a 9.11.1rc1 y 9.9.9-S8.
Por otra parte, con CVE-2017-3136, una consulta con un conjunto específico de caracteres podría provocar un fallo de aserción y la caída de un servidor que use DNS64. Afecta a versiones 9.8.0 a 9.8.8-P1, 9.9.0 a 9.9.9-P6, 9.9.10b1 a 9.9.10rc1, 9.10.0 a 9.10.4-P6, 9.10.5b1 a 9.10.5rc1, 9.11.0 a 9.11.0-P3, 9.11.1b1 a 9.11.1rc1 y 9.9.3-S1 a 9.9.9-S8.
Por último, con CVE-2017-3138, un cambio en una característica reciente introdujo una regresión que ha creado una situación bajo la que algunas versiones de named pueden provocar un fallo de aserción si reciben una cadena de comando nula. Afecta a versiones 9.9.9 a 9.9.9-P7, 9.9.10b1 a 9.9.10rc2, 9.10.4 a 9.10.4-P7, 9.10.5b1 a 9.10.5rc2, 9.11.0 a 9.11.0-P4, 9.11.1b1 a 9.11.1rc2, 9.9.9-S1 a 9.9.9-S9.
Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P8, 9.10.4-P8, 9.11.0-P5 y 9.9.9-S10, disponibles en:
http://www.isc.org/downloads.
Más información:
CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
https://kb.isc.org/article/AA-01466
CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with «break-dnssec yes;»
https://kb.isc.org/article/AA-01465
CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
https://kb.isc.org/article/AA-01471
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.